勒索病毒,是一种新型电脑病毒,主要以邮件,程序木马,网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
勒索病毒主要类型
1.文件加密类勒索病毒。该类型勒索病毒RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金,一旦感染,极难恢复文件。该类勒索病毒以WannaCry为代表,自2017年全球大规模爆发以来,其通过加密算法加密文件,并利用暗网通信回传解密密钥、要求支付加密货币赎金等隐蔽真实身份的勒索病毒攻击模式引起攻击者的广泛模仿,文件加密类已经成为当前勒索病毒的主要类型。
2.数据窃取类勒索病毒。该类勒索病毒与文件加密类勒索病毒相似,通常采用多种加密算法加密用户数据,一旦感染,同样极难进行数据恢复,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。
3.系统加密类勒索病毒。该类勒索病毒同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻止用户访问磁盘,影响用户设备的正常启动和使用,并向用户勒索赎金,甚至对全部磁盘数据进行加密,一旦感染,同样难以进行数据数据恢复。例如,2016年首次发现的Petya勒索病毒,对攻击对象全部数据进行加密的同时,以病毒内嵌的主引导记录代码覆盖磁盘扇区,直接导致设备无法正常启动。
4.屏幕锁定类勒索病毒。该类勒索病毒对用户设备屏幕进行锁定,通常以全屏形式呈现涵盖勒索信息的图像,导致用户无法登录和使用设备,或伪装成系统出现蓝屏错误等,进而勒索赎金,但该类勒索病毒未对用户数据进行加密,具备数据恢复的可能。例如,Winlock勒索病毒通过禁用Windows系统关键组件,锁定用户设备屏幕,要求用户通过短信付费的方式支付勒索赎金。
勒索病毒典型传播方式
1.利用安全漏洞传播。攻击者利用弱口令、远程代码执行等网络产品安全漏洞,攻击入侵用户内部网络,获取管理权权限,进而主动传播勒索病毒。目前,攻击者通常利用已公开且发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞攻击入侵并部署勒索病毒,实施勒索行为。
2.利用钓鱼邮件传播。攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中,或将勒索病毒恶意链接写入钓鱼邮件正文中,通过网络钓鱼攻击传播勒索病毒,一旦用户打开邮件附件,或点击恶意链接,勒索病毒将自动加载、安装和运行,实现实施勒索病毒攻击的目的。
3.利用网站挂马传播。攻击者通过网络攻击网站,以在网站植入恶意代码的方式挂马,或通过主动搭建包含恶意代码的网站,诱导用户访问网站并触发恶意代码,劫持用户当前访问页面至勒索病毒下载链接并执行,进而向用户设备植入勒索病毒。
4.通过移动介质传播。攻击者通过隐藏U盘、移动硬盘等移动存储介质原有文件,创建与移动存储介质盘符、图标等相同的快捷方式,一旦用户点击,自动运行勒索病毒,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索病毒攻击行为。
5.利用软件供应链传播。攻击者利用软件供应商与软件用户间的信任关系,通过攻击入侵软件供应商相关服务器设备,利用软件供应链分发、更新等机制,在合法软件正常传播、升级等过程中,对合法软件进行劫持或篡改,规避用户网络完全防护机制,传播勒索病毒。
6.利用远程桌面入侵传播。攻击者通过利用弱口令、暴力扑街方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器并植入勒索病毒。同时,攻击者一旦成功登录服务器,获得服务器控制权限,可以服务器为攻击跳板,在用户内部网络进一步传播勒索病毒。
如何判断业务是否遭受勒索病毒攻击?
如何判断服务器中了勒索病毒呢?勒索病毒区别于其他病毒的明显特征:加密受害者主机的文档和数据,然后对受害者实施勒索,从中非法谋取私利。勒索病毒的收益极高,所以大家才称之为“勒索病毒”。
勒索病毒的主要目的既然是为了勒索,那么黑客在植入病毒完成加密后,必然会提示受害者您的文件已经被加密了无法再打开,需要支付赎金才能恢复文件。所以,勒索病毒有明显区别于一般病毒的典型特征。如果服务器出现了以下特征,即表明已经中了勒索病毒。
1. 业务系统无法访问
勒索病毒的攻击不再局限于加密核心业务文件;转而对企业的服务器和业务系统进行攻击,感染企业的关键系统,破坏企业的日常运营;甚至还延伸至生产线——生产线不可避免地存在一些遗留系统和各种硬件难以升级打补丁等原因,一旦遭到勒索攻击的直接后果就是生产线停产。
但是,当业务系统出现无法访问、生产线停产等现象时,并不能100%确定是服务器感染了勒索病毒,也有可能是遭到DDoS攻击或是中了其他病毒等原因所致,所以,还需要结合下面的特征来判断。
2.电脑桌面被篡改
服务器被感染勒索病毒后,最明显的特征是电脑桌面发生明显变化,即:桌面通常会出现新的文本文件或网页文件,这些文件用来说明如何解密的信息,同时桌面上显示勒索提示信息及解密联系方式,通常提示信息英文较多,中文提示信息较少。
下面为电脑感染勒索病毒后,几种典型的桌面发生变化的示意图。
3.文件后缀被篡改
服务器感染勒索病毒后,另外一个典型特征是:办公文档、照片、视频等文件的图标变为不可打开形式,或者文件后缀名被篡改。一般来说,文件后缀名会被改成勒索病毒家族的名称或其家族代表标志,如:GlobeImposter家族的后缀为.dream、.TRUE、.CHAK等;Satan家族的后缀.satan、sicck;Crysis家族的后缀有.ARROW、.arena等。
下面为电脑感染勒索病毒后,几种典型的文件后缀名被篡改或文件图标变为不可打开的示意图。
当我们看到上述三个现象的时候,说明服务器已经遭到勒索病毒的攻击,此时,如果我们仓促的进行不正确的处置,反而可能会进一步扩大自己的损失。所以,请保持冷静不要惊慌失措,现在我们需要做的是如何最大化的减少损失,并阻止黑客继续去攻击其他服务器。
感染勒索病毒攻击如何进行自救?
当我们已经确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。例如:与被感染主机相连的其他服务器也存在漏洞或是有缺陷,将有可能也被感染。所以,采取自救措施的目的是为了及时止损,将损失降到最低。
1.隔离中招主机
处置方法
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。
1) 物理隔离
物理隔离常用的操作方法是断网和关机。
断网主要操作步骤包括:拔掉网线、禁用网卡,如果是笔记本电脑还需关闭无线网络。
2) 访问控制
访问控制常用的操作方法是加策略和修改登录密码。
加策略主要操作步骤为:在网络侧使用安全设备进行进一步隔离,如防火墙或终端安全监测系统;避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。
修改登录密码的主要操作为:立刻修改被感染服务器的登录密码;其次,修改同一局域网下的其他服务器密码;第三,修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码,一般要求:采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
处置原理
隔离的目的,一方面是为了防止感染主机自动通过连接的网络继续感染其他服务器;另一方面是为了防止黑客通过感染主机继续操控其他服务器。
有一类勒索病毒会通过系统漏洞或弱密码向其他主机进行传播,如WannaCry勒索病毒,一旦有一台主机感染,会迅速感染与其在同一网络的其他电脑,且每台电脑的感染时间约为1-2分钟左右。所以,如果不及时进行隔离,可能会导致整个局域网主机的瘫痪。
另外,近期也发现有黑客会以暴露在公网上的主机为跳板,再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击,造成更大规模的破坏。
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,防止病毒继续感染其他服务器,造成无法估计的损失。
2. 排查业务系统
处置方法
在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
处置原理
业务系统的受影响程度直接关系着事件的风险等级。评估风险,及时采取对应的处置措施,避免更大的危害。
另外,备份系统如果是安全的,就可以避免支付赎金,顺利的恢复文件。
所以,当确认服务器已经被感染勒索病毒后,并确认已经隔离被感染主机的情况下,应立即对核心业务系统和备份系统进行排查。
3.联系专业人员
在应急自救处置后,建议第一时间联系专业的技术人士或安全从业者,对事件的感染时间、传播方式,感染家族等问题进行排查。
个人中招用户可以:通过360安全卫士的反勒索服务,联系专业人士。用户在进入“360安全卫士”-“反勒索服务”选项后,需要同时开启360文档保护和360反勒索服务。开启这两项服务后,若您被感染勒索病毒,点击“申请服务”按钮即可申请理赔。
政企机构中招客户可以联系:360企业安全集团,全国400应急热线:4008136 360 转2 转4。
勒索病毒攻击安全防护举措
一.终端用户安全建议
对于普通终端用户,我们给出以下建议,以帮助用户免遭勒索病毒的攻击:
养成良好的安全习惯
1) 电脑应当安装具有云防护和主动防御功能的安全软件,不随意退出安全软件或关闭防护功能,对安全软件提示的各类风险行为不要轻易放行。
2) 使用安全软件的第三方打补丁功能对系统进行漏洞管理,第一时间给操作系统和IE、Flash等常用软件打好补丁,定期更新病毒库,以免病毒利用漏洞自动入侵电脑。
3) 对系统用户密码及时进行更改,并使用LastPass等密码管理器对相关密码进行加密存储,避免使用本地明文文本的方式进行存储。系统相关用户杜绝使用弱口令,同时,应该使用高复杂强度的密码,8位以上尽量包含大小写字母、数字、特殊符号等的混合密码,加强运维人员安全意识,禁止密码重用的情况出现,并定期对密码进行更改。
4) 重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。
减少危险的上网操作
1) 不要浏览来路不明的色情、赌博等不良信息网站,这些网站经常被用于发动挂马、钓鱼攻击。
2) 不要轻易打开陌生人发来的邮件附件或邮件正文中的网址链接。
3) 不要轻易打开后缀名为js、vbs、wsf、bat等脚本文件和exe、scr等可执行程序,对于陌生人发来的压缩文件包,更应提高警惕,应先扫毒后打开。
4) 电脑连接移动存储设备,如U盘、移动硬盘等,应首先使用安全软件检测其安全性。
5) 对于安全性不确定的文件,可以选择在安全软件的沙箱功能中打开运行,从而避免木马对实际系统的破坏。
采取及时的补救措施
1) 安装“360安全卫士”并开启“反勒索服务”,一旦电脑被勒索病毒感染,可以通过360反勒索服务申请赎金赔付,以尽可能的减小自身经济损失。
二、政企用户安全建议
1)如用户处存在虚拟化环境,建议用户安装360网神虚拟化安全管理系统,进一步提升防恶意软件、防暴力破解等安全防护能力。
2)安装天擎等终端安全软件,及时给办公终端打补丁修复漏洞,包括操作系统以及第三方应用的补丁。
3)针对政企用户的业务服务器,除了安装杀毒软件还需要部署安全加固软件,阻断黑客攻击。
4)企业用户应采用足够复杂的登录密码登录办公系统或服务器,并定期更换密码,严格避免多台服务器共用同一个密码。
5)限制内网主机可进行访问的网络、主机范围。有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口。
6)对重要数据和核心文件及时进行备份,并且备份系统与原系统隔离,分别保存。
7)部署天眼等安全设备,增加全流量威胁检测手段,实时监测威胁、事件。
8)如果没有使用的必要,尽量关闭3389、445、139、135等不用的高危端口,建议内网部署堡垒机类似的设备,并只允许堡垒机IP访问服务器的远程管理端口(445、3389、22)。
9)提高安全运维人员职业素养,除工作电脑需要定期进行木马病毒查杀外,如有远程家中办公电脑也需要定期进行病毒木马查杀。
10)提升新兴威胁对抗能力
通过对抗式演习,从安全的技术、管理和运营等多个维度出发,对企业的互联网边界、防御体系及安全运营制度等多方面进行仿真检验,持续提升企业对抗新兴威胁的能力。